En ny ransomwaregrupp, The Gentlemen, har på kort tid blivit en av de mest aktiva aktörerna globalt. Sedan mitten av 2025 har över 320 organisationer drabbats, varav 240 i år. Samtidigt visar ny analys från cybersäkerhetsföretaget Check Point Research att den verkliga omfattningen kan vara betydligt större.
Till skillnad från många andra ransomwaregrupper, som ofta är kortlivade, fortsätter The Gentlemen att växa. Bakom framgången ligger inte ny teknik, utan en mer attraktiv affärsmodell. Gruppen erbjuder sina samarbetspartners upp till 90 procent av lösensumman, jämfört med branschstandard på 80 procent. Det lockar erfarna angripare från andra nätverk och gör det möjligt att snabbt skala upp verksamheten över miljöer som Windows och Linux.
Snabb tillväxt bakom attackerna
Angreppen riktas främst mot sårbara, internetexponerade system som VPN-lösningar och brandväggar. När angriparna väl tagit sig in går det snabbt och hela nätverk kan krypteras inom några timmar. Tillverkningsindustrin och teknikföretag är de vanligaste målen, men även hälso- och sjukvården ökar, ett tecken på att gruppen inte tar hänsyn till samhällskritiska verksamheter.
Fler mål än tidigare känt
I ett pågående incidentärende fick cybersäkerhetsföretaget tillgång till en kontrollserver kopplad till en angripare. Där identifierades över 1570 potentiella företagsmål, betydligt fler än de som gruppen själva uppgett. Det rör sig om organisationer som redan drabbats och där data sannolikt redan förberetts för att stjälas, vilket pekar på ett stort mörkertal.
Högt tempo i attackerna
Ett utmärkande drag är tempot i attackerna. Angriparna arbetar efter etablerade metoder där de snabbt säkrar åtkomst, rör sig mellan system, stänger av säkerhetsfunktioner och aktiverar kryptering samtidigt via centrala styrverktyg. Det ger försvarare mycket kort tid att upptäcka och stoppa angreppet.
– Det här visar hur ransomware utvecklas som affärsmodell snarare än teknik, säger Oskar Rödin, säkerhetsexpert på Check Point Software. Genom att erbjuda bättre villkor kan de snabbt locka till sig erfarna angripare och skala upp verksamheten. För organisationer innebär det att klassiska sårbarheter fortfarande är den största risken.
För svenska verksamheter är budskapet tydligt: säkra upp internetexponerade system, stärk identitetsskyddet och säkerställ fungerande backuper. Det är fortfarande dessa grundläggande åtgärder som avgör hur väl organisationer står emot den här typen av snabba ransomwareattacker.
